Kérdés

Kedves fórum résztvevők,

sajnos nem találom az IPv6 tűzfal beállítását. Mit kell tennem annak érdekében, hogy IPv6 LAN eszközeim és portjaim az internetről elérhetőek legyenek?

Üdv Thorsten

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

18 válasz erre a kérdésre

IPv6 esetén az eszközeid tűzfalán tudod beállítani, hogy kívülről elérhetőek legyenek e vagy sem, mivel nincs NAT, így natív publikus IPv6 címmel rendelkeznek. Ha központi beállítást akarsz, ahhoz saját routerrel kell kiszolgálni az otthoni hálózatodat. A Telekom által biztosított digitális elosztó nem korlátozza a helyi hálózaton lévő eszközök kívülről való elérését.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Köszonöm szepen! Ha jol ertem minden IPV6 cim megvan routolva ha nem haznalom egy additionalis sajat firewall.

Azt is jelent hogy minden windows 10 szamitogep az internettöl elerhetö IPV6 keresztül? per standard?

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
Ekkor: 2021. 02. 15. at 15:56, karolyi írta:

Ezzel ket aprocska problema van:

1: a router feluleten csak egy megadott IPv6-os cimre tudok routet engedelyezni (mondjuk ez is kulon remalom volt)

2: a telekom nem garantal statikus IPv6 cimet, igy minden egyes valtozaskor lehet az egesz router beengedett IPv6 portjait a megvaltozott IPv6 cimekre ujrakonfiguralni.

IPv4 eseten ez jol tud mukodni DynDNS-el mivel ott portforward van belso DHCP-vel kiosztott IP cimekre, de IPv6 eseten ez egyszeruen lehetetlen vallalkozas. A mai napom azzal ment ell hogy rajottem a router felulete hol bugos hogy tudjak IPv6 portokat nyitni, de sajnos az IP cim valtozas problemaja tovabbra is fennall es ellehetetleniti a normalis port atengedest.

1. Ez attól is függ, hogy milyen routerről van szó, azon belül is, hogy milyen szoftver fut rajta. Gyári vagy mókolt. 

2. A helyi hálózaton lehet csinálni helyi hálózatos IPv6 címeket ami alapján a router felismeri, de akár a MAC cím alapján is felismerheti, ami biztosan statikus. Ez alapján már egy jól felokosított routerel megoldható bármilyen szűrés. 

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Posztolva: (szerkesztve)

1 órája, karolyi írta:

1: ennek a csudalatos sagemcom routernek a gyari firmware-je van (lasd topic cim), nincs semmi mokolas a konfiguracios remalmon kivul...

2: ezt kifejtened bovebben? ha a 'belso' (router mogotti) ipv6 valtozik a prefix valtozas miatt, akkor a routerben mint mondtam tudomasom szerint lehet az osszes korabbit IPv6 cimekre torteno routet atirni.

1. A szolgáltatói eszközt felejtsd el ebből a szempontból. Már korábban leírtam, hogy azzal nem lehet normális IPv6 tűzfalazást megoldani. Ehhez saját eszköz kell.

2. Nem kell egy szabályt IPv6-hoz kötni. Ha azt akarod, hogy a helyi hálódon lévő gépek ne legyenek elérhetők kintről IPv6-ról, akkor hozni kell egy olyan szabályt, ami tiltja az összes bejövő IPv6 kérést. A kifelé menő kérések és a már létrejött kapcsolatok kétirányú kommunikációja ez alól kivételt képezhet. Ezután egy felülíró szabállyal portonként felüldefiniálhatod ezt a globális elutasító szabályt, akár lokális IPv4 cím alapján is. Példa:

allow-port-ipv6.png

A képen látható, hogy nyitottam egy szabályt a tableten futó MySQL adatbázis szervernek, IPv6 kommunikációra, ami engedélyezi 3306-os porton bejövő kéréseket bármilyen forrásból. Ehhez nem volt szükségem tudni a tablet aktuális IPv6 címét. Akár mi az IPv6 címe, a tablet nem lesz elérhető kívülről csak a 3306-os porton.

Itt pedig a fő szabály az IPv6 tiltásra (amit ugye egy egy felsőbb szabállyal felül lehet bírálni)

drop-all-incomming-ipv6.png

A képek OpenWRT rendszert futtató tűzfalon készültek, de például a Webmin felület is ugyanezeken az elveken működik nagyjából.

Szerkesztve ekkor: Szerkesztő: btz

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
1 perce, karolyi írta:

1: koszi, akkor jol gondoltam hogy a szolgaltatoi routerrel (legalabbis annak a 'gyari' firmware--jevel) megoldhatatlan a sztori. te le tudtad benne cserelni openwrt-re a firmwaret? vagy vettel egy masik routert? ha a masodik eset all fenn, milyet vettel, ami tudja az optikai kabelt fogadni es meg is tudja hajtani?

2: a screenshotok alapjan en ipv4-es cimeket latok nalad, de gondolom az openwrt-nek van valami 'under the hood' logikaja arra hogy ezt az ipv4-es cimet mac address megfeleltetes alapjan atkonvertalja az ipv6 verziora, es azt tuzfalazza? nemtom, csak hangosan gondolkodok, szal kerdem.

a poen az hogy ezt a cuccot nem magamnak kell megoldanom hanem testveremek cegenek, akik szeretnem ha a VPN-juket meg a kb 10-15 megnyitott portot IPv6-al is el tudnak erni, es nem kene az IPv4 hasznalatat eroltetni emiatt a problematika miatt, mint jelenleg. pont most volt naluk IP valtas (mondjuk az is erdekes kerdes hogy ezt miert nem hajnali 4kor kell csinalni es miert napkozben amikor dolgoznanak), es meg szerencse hogy mondtam hogy egyelore csak IPv4-el hasznaljanak mindent mert mar lett volna kaosz :)

A szolgáltatói HGW-t nem tudod lecserélni saját eszközre. Passthrough módba tudod kapcsolni, ilyenkor egyfajta média konverterként fog működni és a magad által választott routerrel fogod tudni megosztani a kapcsolatot.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
Ekkor: 2021. 02. 17. at 15:27, karolyi írta:

1: koszi, akkor jol gondoltam hogy a szolgaltatoi routerrel (legalabbis annak a 'gyari' firmware--jevel) megoldhatatlan a sztori. te le tudtad benne cserelni openwrt-re a firmwaret? vagy vettel egy masik routert? ha a masodik eset all fenn, milyet vettel, ami tudja az optikai kabelt fogadni es meg is tudja hajtani?

2: a screenshotok alapjan en ipv4-es cimeket latok nalad, de gondolom az openwrt-nek van valami 'under the hood' logikaja arra hogy ezt az ipv4-es cimet mac address megfeleltetes alapjan atkonvertalja az ipv6 verziora, es azt tuzfalazza? nemtom, csak hangosan gondolkodok, szal kerdem.

a poen az hogy ezt a cuccot nem magamnak kell megoldanom hanem testveremek cegenek, akik szeretnem ha a VPN-juket meg a kb 10-15 megnyitott portot IPv6-al is el tudnak erni, es nem kene az IPv4 hasznalatat eroltetni emiatt a problematika miatt, mint jelenleg. pont most volt naluk IP valtas (mondjuk az is erdekes kerdes hogy ezt miert nem hajnali 4kor kell csinalni es miert napkozben amikor dolgoznanak), es meg szerencse hogy mondtam hogy egyelore csak IPv4-el hasznaljanak mindent mert mar lett volna kaosz :)

Az első pontra úgy látom, hogy megkaptad a választ. Saját routert üzemeltetek és ezen van OpenWrt 

A második pont: Nem konvertál semmit. A router ismeri a rácsatlakozott eszközöket LAN hálózati IP címük alapján, így tudja, hogy nem mehet rajta keresztül semmi abba az irányba. Valójában ha egy eszköznek van publikus IPv6 címe, akkor is a routeren keresztül kommunikál, így a router mindenről tud és valójában az továbbítja az adott csomagot. Ezt akkor is meg lehetne tenni, ha publikus IPv4 címeket kapnál minden otthoni eszközödre. A routernek akkor sem lenne szüksége a rajta lógó eszköz aktuális IPv4 címére ahhoz, hogy letiltson felé bármilyen forgalmat. 

Üzleti csomagban még mindig lehet kérni fix IPv4 címet. Szerintem haaználjátok ki, amíg lehet. 20-30 év múlva már lehet, hogy aranyat ér. 

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

IMG_20210221_194724.png

A képen látható, hogy az OpenWrt tisztában van az eszköz IPv4 címével és a MAC adressével is. IPv4 cím nélkül nem vehet részt az eszköz a saját router IPv4 helyi hálózatán. Persze lehet készíteni statikus nem publikus helyi IPv6 címeket is, helyi IPv6 kommunikációra, de publikus IPv6 esetében ezt ugyan úgy natolni kell, mint az IPv4 esetén. 

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Posztolva: (szerkesztve)

15 perce, karolyi írta:

> A router ismeri a helyi hálózaton lévő eszköz helyi hálózati IPv4 címét és ez alapján hozhatsz IPv6 forgalomra vonatkozó szabályokat.

Ez meg mindig nem teljesen tiszta, megiscsak mac address alapjan talalja ki a hasznalt IPv6 cimet az IPv4-bol?

asszem jobb lesz ha belenezek az openWRT manualjaba.

Mint írtam, az IPv4 belső hálózaton nem tud részt venni egy eszköz sem IPv4 cím nélkül, de ettől függetlenül az OpenWrt ismeri a klienst. Nem kell neki semmilyen IPv6 címet kiválasztania. 

Javaslom én is az OpenWrt manuál átnézését, de sokkal inkább javaslom, hogy tedd fel egy routeredre vagy egy virtuális szerverre virtuális kliensekkel és akkor gyakorlatban tudod kitapasztalni, hogy mit lehet, milyen beállítások mit eredményeznek. 

Szerkesztve ekkor: Szerkesztő: btz

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
4 órája, Piritos írta:

Köszonöm szepen! Ha jol ertem minden IPV6 cim megvan routolva ha nem haznalom egy additionalis sajat firewall.

Azt is jelent hogy minden windows 10 szamitogep az internettöl elerhetö IPV6 keresztül? per standard?

Ez azt jelenti, hogy a publikus IPv6 címmel rendelkező géped közvetlenül elérhető egy másik IPv6-al rendelkező gépről közvetlenül, ha nem használsz a gépeden tűzfalat. De ha van egy komolyabb saját routered, azzal le is blokkolhatod a forgalmat, akármelyik helyihálózatodon lévő gépeden, még ha azon semmilyen tűzfal nincs, akkor is. A digitális elosztókban úgy tudom, hogy nincs ilyen komplex IPv6 tűzfal.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Posztolva: (szerkesztve)

Ekkor: 2/7/2021 at 19:39, btz írta:

Ez azt jelenti, hogy a publikus IPv6 címmel rendelkező géped közvetlenül elérhető egy másik IPv6-al rendelkező gépről közvetlenül, ha nem használsz a gépeden tűzfalat. De ha van egy komolyabb saját routered, azzal le is blokkolhatod a forgalmat, akármelyik helyihálózatodon lévő gépeden, még ha azon semmilyen tűzfal nincs, akkor is. A digitális elosztókban úgy tudom, hogy nincs ilyen komplex IPv6 tűzfal.

Ezzel ket aprocska problema van:

1: a router feluleten csak egy megadott IPv6-os cimre tudok routet engedelyezni (mondjuk ez is kulon remalom volt)

2: a telekom nem garantal statikus IPv6 cimet, igy minden egyes valtozaskor lehet az egesz router beengedett IPv6 portjait a megvaltozott IPv6 cimekre ujrakonfiguralni.

IPv4 eseten ez jol tud mukodni DynDNS-el mivel ott portforward van belso DHCP-vel kiosztott IP cimekre, de IPv6 eseten ez egyszeruen lehetetlen vallalkozas. A mai napom azzal ment ell hogy rajottem a router felulete hol bugos hogy tudjak IPv6 portokat nyitni, de sajnos az IP cim valtozas problemaja tovabbra is fennall es ellehetetleniti a normalis port atengedest.

Szerkesztve ekkor: Szerkesztő: karolyi
hibajav

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
2 órája, btz írta:

1. Ez attól is függ, hogy milyen routerről van szó, azon belül is, hogy milyen szoftver fut rajta. Gyári vagy mókolt. 

2. A helyi hálózaton lehet csinálni helyi hálózatos IPv6 címeket ami alapján a router felismeri, de akár a MAC cím alapján is felismerheti, ami biztosan statikus. Ez alapján már egy jól felokosított routerel megoldható bármilyen szűrés. 

1: ennek a csudalatos sagemcom routernek a gyari firmware-je van (lasd topic cim), nincs semmi mokolas a konfiguracios remalmon kivul...

2: ezt kifejtened bovebben? ha a 'belso' (router mogotti) ipv6 valtozik a prefix valtozas miatt, akkor a routerben mint mondtam tudomasom szerint lehet az osszes korabbit IPv6 cimekre torteno routet atirni.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
16 órája, btz írta:

1. A szolgáltatói eszközt felejtsd el ebből a szempontból. Már korábban leírtam, hogy azzal nem lehet normális IPv6 tűzfalazást megoldani. Ehhez saját eszköz kell.

2. Nem kell egy szabályt IPv6-hoz kötni. Ha azt akarod, hogy a helyi hálódon lévő gépek ne legyenek elérhetők kintről IPv6-ról, akkor hozni kell egy olyan szabályt, ami tiltja az összes bejövő IPv6 kérést. A kifelé menő kérések és a már létrejött kapcsolatok kétirányú kommunikációja ez alól kivételt képezhet. Ezután egy felülíró szabállyal portonként felüldefiniálhatod ezt a globális elutasító szabályt, akár lokális IPv4 cím alapján is. Példa:

allow-port-ipv6.png

A képen látható, hogy nyitottam egy szabályt a tableten futó MySQL adatbázis szervernek, IPv6 kommunikációra, ami engedélyezi 3306-os porton bejövő kéréseket bármilyen forrásból. Ehhez nem volt szükségem tudni a tablet aktuális IPv6 címét. Akár mi az IPv6 címe, a tablet nem lesz elérhető kívülről csak a 3306-os porton.

Itt pedig a fő szabály az IPv6 tiltásra (amit ugye egy egy felsőbb szabállyal felül lehet bírálni)

drop-all-incomming-ipv6.png

A képek OpenWRT rendszert futtató tűzfalon készültek, de például a Webmin felület is ugyanezeken az elveken működik nagyjából.

1: koszi, akkor jol gondoltam hogy a szolgaltatoi routerrel (legalabbis annak a 'gyari' firmware--jevel) megoldhatatlan a sztori. te le tudtad benne cserelni openwrt-re a firmwaret? vagy vettel egy masik routert? ha a masodik eset all fenn, milyet vettel, ami tudja az optikai kabelt fogadni es meg is tudja hajtani?

2: a screenshotok alapjan en ipv4-es cimeket latok nalad, de gondolom az openwrt-nek van valami 'under the hood' logikaja arra hogy ezt az ipv4-es cimet mac address megfeleltetes alapjan atkonvertalja az ipv6 verziora, es azt tuzfalazza? nemtom, csak hangosan gondolkodok, szal kerdem.

a poen az hogy ezt a cuccot nem magamnak kell megoldanom hanem testveremek cegenek, akik szeretnem ha a VPN-juket meg a kb 10-15 megnyitott portot IPv6-al is el tudnak erni, es nem kene az IPv4 hasznalatat eroltetni emiatt a problematika miatt, mint jelenleg. pont most volt naluk IP valtas (mondjuk az is erdekes kerdes hogy ezt miert nem hajnali 4kor kell csinalni es miert napkozben amikor dolgoznanak), es meg szerencse hogy mondtam hogy egyelore csak IPv4-el hasznaljanak mindent mert mar lett volna kaosz :)

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Posztolva: (szerkesztve)

4 perce, uzman írta:

A szolgáltatói HGW-t nem tudod lecserélni saját eszközre. Passthrough módba tudod kapcsolni, ilyenkor egyfajta média konverterként fog működni és a magad által választott routerrel fogod tudni megosztani a kapcsolatot.

koszi.

ezt a passthrough opciot hol talalom a feluleten? ez a PPPoE passthrough lenne? ezek szerint a v4 es v6 is PPPoE-vel allitodik be? mert a v6 konfig resznel nem latok passthrough-t.

Szerkesztve ekkor: Szerkesztő: karolyi
kieg

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
39 perce, karolyi írta:

koszi.

ezt a passthrough opciot hol talalom a feluleten? ez a PPPoE passthrough lenne? ezek szerint a v4 es v6 is PPPoE-vel allitodik be? mert a v6 konfig resznel nem latok passthrough-t.

Igen,  pppoe passthrough-ról van szó. Csak egy helyen kell bekapcsolni.

Ipv4-et és 6-os is kaphat a routered.

sagemcom-5655v2-pppoe-interface.jpg.29763e0a952cdbe87b8ad3803455030c.jpg

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Posztolva: (szerkesztve)

7 perce, btz írta:

Az első pontra úgy látom, hogy megkaptad a választ. Saját routert üzemeltetek és ezen van OpenWrt 

A második pont: Nem konvertál semmit. A router ismeri a rácsatlakozott eszközöket LAN hálózati IP címük alapján, így tudja, hogy nem mehet rajta keresztül semmi abba az irányba. Valójában ha egy eszköznek van publikus IPv6 címe, akkor is a routeren keresztül kommunikál, így a router mindenről tud és valójában az továbbítja az adott csomagot. Ezt akkor is meg lehetne tenni, ha publikus IPv4 címeket kapnál minden otthoni eszközödre. A routernek akkor sem lenne szüksége a rajta lógó eszköz aktuális IPv4 címére ahhoz, hogy letiltson felé bármilyen forgalmat. 

Üzleti csomagban még mindig lehet kérni fix IPv4 címet. Szerintem haaználjátok ki, amíg lehet. 20-30 év múlva már lehet, hogy aranyat ér. 

Az IPv6 dolgot szerintem felreertetted. A kerdes arra vonatkozott hogy hogyan lehet a router mogotti IPv6 cimekre opt-in modon beengedni cuccot, azaz egy valtozo IPv6 cimre amit egy megadott  mac address hasznal,  tud-e az OpenWRT tuzfalazni.

A cel az hogy azokra a dinamikus IPv6 cimekre beengedni azokat a konfiguralt portokat, amiket a belso eszkozok eppen megkaptak.

Ez azert erdekes mert minden gepet nem akarok kulon kulon a sajat oprendszerebol tuzfalazni, hanem a routerben csakugy mint ahogy IPv4 eseten lehet portokat belulre beengedni, ugyanugy IPv6 eseten megadott forgalmat atengedni befele. A trukk ugye az ahogy korabban is emlitettem, hogy az IPv6 prefix kb naponta valtozik, igy a gepek valtogatjak az IPv6 cimeiket, ezekre kell a routerrel opt-in modon tuzfalaznom.

Szerkesztve ekkor: Szerkesztő: karolyi
kieg

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
5 perce, karolyi írta:

Az IPv6 dolgot szerintem felreertetted. A kerdes arra vonatkozott hogy hogyan lehet a router mogotti IPv6 cimekre opt-in modon beengedni cuccot, azaz egy valtozo IPv6 cimre amit egy megadott  mac address hasznal,  tud-e az OpenWRT tuzfalazni.

A cel az hogy azokra a dinamikus IPv6 cimekre beengedni azokat a konfiguralt portokat, amiket a belso eszkozok eppen megkaptak.

Ez azert erdekes mert minden gepet nem akarok kulon kulon a sajat oprendszerebol tuzfalazni, hanem a routerben csakugy mint ahogy IPv4 eseten lehet portokat belulre beengedni, ugyanugy IPv6 eseten megadott forgalmat atengedni befele. A trukk ugye az ahogy korabban is emlitettem, hogy az IPv6 prefix kb naponta valtozik, igy a gepek valtogatjak az IPv6 cimeiket, ezekre kell a routerrel opt-in modon tuzfalaznom.

Változó IPv6 cím alapján nem tudsz tűzfal szabályt hozni. A router ismeri a helyi hálózaton lévő eszköz helyi hálózati IPv4 címét és ez alapján hozhatsz IPv6 forgalomra vonatkozó szabályokat. Nem kell külön külön minden egyes gépen mókolni a tűzfallal. MAC address alapján is tudod szűrni a forgalmat. 

Ezzel amit írtam, pont ezt a célt fogod tudni elérni. 

 

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Posztolva: (szerkesztve)

3 perce, btz írta:

Változó IPv6 cím alapján nem tudsz tűzfal szabályt hozni. A router ismeri a helyi hálózaton lévő eszköz helyi hálózati IPv4 címét és ez alapján hozhatsz IPv6 forgalomra vonatkozó szabályokat. Nem kell külön külön minden egyes gépen mókolni a tűzfallal. MAC address alapján is tudod szűrni a forgalmat. 

Ezzel amit írtam, pont ezt a célt fogod tudni elérni. 

 

> A router ismeri a helyi hálózaton lévő eszköz helyi hálózati IPv4 címét és ez alapján hozhatsz IPv6 forgalomra vonatkozó szabályokat.

Ez meg mindig nem teljesen tiszta, megiscsak mac address alapjan talalja ki a hasznalt IPv6 cimet az IPv4-bol?

asszem jobb lesz ha belenezek az openWRT manualjaba.

Szerkesztve ekkor: Szerkesztő: karolyi
kieg

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Hozz létre egy fiókot vagy jelentkezz be a kommenteléshez

Ahhoz, hogy kommentelhess, tagnak kell lenned.

Fiók létrehozása

Hozz létre a közösségünkben egy új fiókot. Igazán egyszerű!


Új fiók regisztrálása

Bejelentkezés

Már van fiókod? Jelentkezz be itt!


Bejelentkezés most